Cookie パーサー
Cookie は、何かに拒否されるまではただの絡まった文字列です。Cookie や Set-Cookie ヘッダー、あるいは生の document.cookie を貼り付けると、各 Cookie が名前・値・属性に分解され、URL エンコード・JSON・Base64・JWT の値はその場でデコードされます。内蔵の監査が Secure・HttpOnly・SameSite・__Host- と __Secure- プレフィックス・有効期限・サイズを採点し、その後 Cookie ヘッダー・Set-Cookie 行・document.cookie・Netscape cookies.txt・JSON・PHP に再構築できます。すべてブラウザー内で完結し、何もアップロードしません。
- 1 つの入力欄で Cookie ヘッダー・Set-Cookie ヘッダー・document.cookie を読み取り、モード切替不要
- 不透明な値をその場でデコード:URL エンコード・JSON・Base64・JWT
- セキュリティ監査が Secure・HttpOnly・SameSite・__Host-/__Secure- プレフィックス・有効期限を採点
- Cookie ヘッダー・Set-Cookie・document.cookie・curl cookies.txt・JSON・PHP に再構築
ここから始める
左の入力欄に Cookie ヘッダー、1 つ以上の Set-Cookie ヘッダー、または document.cookie 文字列を貼り付けると、解析された Cookie がここに表示されます。
概要
リクエスト・レスポンス・document.cookie——どの方向の Cookie 文字列でも、読める名前付きフィールド、検証できるデコード済みの値、そしてリスク箇所を指し示す監査として返ってきます。
- 01
3 つの形態を自動判定
Cookie リクエストヘッダー、Set-Cookie レスポンスヘッダー、生の document.cookie 文字列を構造から識別します。Path・Domain・SameSite などの予約属性が Set-Cookie を示します。ツールバーから形式を強制することもできます。
- 02
値をその場でデコード
URL エンコードを復元し、JSON を整形し、Base64 を展開し、JWT をヘッダーとペイロードに分割 —— 別のツールなしで Cookie が実際に何を運んでいるかを読めます。
- 03
すべての属性を表示
Domain・Path・Expires・Max-Age・SameSite・Secure・HttpOnly・Partitioned・Priority を個別に抽出します。Max-Age は実際の日付に換算され、有効期限は「12 か月後」「5 年前に期限切れ」のようなカウントダウンで表示されます。
- 04
本格的なセキュリティ監査
各 Cookie を Secure・HttpOnly・SameSite・__Host-/__Secure- プレフィックス・過大なペイロード・広すぎる Domain・期限切れ・重複の観点で評価し、0〜100 の 1 つのスコアにまとめます——Secure なしの SameSite=None のような重大な問題が最も大きく減点されます。
- 05
往復エクスポート
この Cookie 群を Cookie ヘッダー・Set-Cookie 行・document.cookie 文・curl 用 Netscape cookies.txt・JSON 配列・Markdown テーブル・PHP setcookie() 呼び出しに再構築します。
- 06
ブラウザー内処理・アップロードなし
判定・デコード・監査・エクスポートはすべてこのページで行われます。Cookie をブラウザーの外に運ぶネットワークリクエストはありません。
使い方
貼って、読んで、組み立て直す——1 つの入力欄が判定・デコード・監査・あらゆるエクスポートをこなし、設定は不要です。
- 01
左の入力欄に Cookie ヘッダー、1 つ以上の Set-Cookie ヘッダー、または document.cookie 文字列を貼り付けます。
- 02
方向は自動判定されます。誤判定の場合はツールバーで Cookie または Set-Cookie に切り替えます。
- 03
「構造化」ビューで各 Cookie の名前・デコード済みの値・属性を確認し、JWT や JSON の値をその場で展開します。
- 04
「セキュリティ」ビューでスコア・カバレッジ統計・サイズ予算・検出結果の一覧を確認します。
- 05
「エクスポート」ビューに切り替えて対象形式を選び、再構築した Cookie をヘッダー・スクリプト・curl jar にコピーします。
詳細
Cookie を読む、値をデコードする、誤りを見つける——3 つのツールを行き来せず、ひと続きで終わります。
- Cookie ヘッダーは name=value のペアに、Set-Cookie ヘッダーは名前・値・すべての属性に分解します。
- 複数の Set-Cookie 行を一度に解析し、1 行 1 Cookie として行頭のヘッダー名を取り除きます。
- 値は JWT・JSON・Base64・URL エンコード・16 進数・UUID・数値・真偽値・プレーンテキストに分類されます。
- 有効期限は絶対日付とローカライズされた相対カウントダウンの両方で表示し、セッションと期限切れを示します。
- 監査は Secure なしの SameSite=None、__Host-/__Secure- プレフィックス違反、HttpOnly 欠如、過大な Cookie を指摘します。
- サイズ予算バーが合計と最大の Cookie を 4096 バイトのブラウザー上限と比較します。
活用シーン
Cookie パーサーが本当に役立つ場面——日々のデバッグ・監査・実際の Cookie の再現。
-
Cookie が実際に何を保存しているか読む
sid=s%3Aa1b2c3 のような値や Base64 の塊は、ひと目では何も分かりません。貼り付ければ、手動のパーセント復元も jwt.io への往復もなく、デコード済みの JSON・JWT クレーム・テキストをその場で読めます。
-
リリース前に Set-Cookie を監査
バックエンドが実際に返す Set-Cookie を貼り付け、Secure・HttpOnly・SameSite・__Host- プレフィックスが揃っているか確認します。監査は、ブラウザーが黙って破棄する「Secure なしの SameSite=None」を本番前に捕まえます。
-
定着しない Cookie をデバッグ
リダイレクト後に Cookie が消えるとき、原因はたいていここに見えます——すでに過ぎた Expires、ホストに一致しない Domain、ブラウザーが保存を拒む 4096 バイト超の値。
-
ブラウザーのセッションを curl へ
DevTools から document.cookie をコピーし、Netscape cookies.txt をエクスポートして、curl --cookie cookies.txt や wget --load-cookies でセッションをそのまま再生します——タブ区切りの項目を手で編集する必要はありません。
-
コードで Cookie を再現
PHP setcookie() 呼び出しや document.cookie 代入をエクスポートし、捕捉した Cookie を属性ごと 1 行で設定できるテストフィクスチャに変えます。
-
チーム向けに Cookie セットを記録
名前・値・フラグの Markdown テーブルを PR やチケットにそのまま貼り、フロントエンド・バックエンド・QA がスクリーンショットではなく 1 つの共有 Cookie 一覧で作業できるようにします。
関連情報
Cookie がより大きなキャプチャの一部にすぎないときは、 HTTP メッセージパーサー を開いてリクエスト行・ヘッダー・ボディ全体を展開します。Cookie が JSON Web Token を運ぶときは、 JWT インスペクター がペイロードをデコードし署名を検証します。そして Cookie 内や絡まったクエリ文字列の URL エンコード値には、 URL ツール が各構成要素を分解しトラッキングパラメーターを取り除きます。
使い方のヒント
Cookie は拒否されるまではただのテキストです。まずは構造化ビューと監査に最初の一読を任せましょう。
- セッションと認証 Cookie には Secure・HttpOnly・明示的な SameSite を設定し、Lax の既定値に頼らないでください。
- セッション Cookie には __Host- プレフィックスを優先します。Secure・Path=/・Domain なしを強制し、サブドメイン注入を防ぎます。
- スクリーンショットや共有の前に、構造化ビューで本物のセッション・トークン・認証値を消してください。
- 各 Cookie を 4096 バイトより十分小さく保ち、大きな状態はサーバー側に置いて識別子だけを保存します。
- SameSite=None はクロスサイト露出を明示的に許可するものと捉え、Secure と明確な理由を伴わせます。
- 本番の Cookie を本ツールを含むどのオンラインツールにも残さないでください。終わったら入力をクリアします。
制限事項
できないことを知っておくと、ブラウザーやスキャナーの代わりに使ってしまうのを防げます。
- ネットワークリクエストは行いません。貼り付けたテキストを解析するだけで、実際のブラウザー Cookie を読み書きはできません。
- Cookie の暗号化や署名付き Cookie の検証は対象外です —— 構造をデコードするだけで、サーバーの秘密は扱いません。
- 監査は基本的な衛生上のシグナルを示すもので結論ではありません。機微な Cookie は正式なセキュリティレビューが必要です。
- デコードはベストエフォートです。Base64 や JSON に「見えるだけ」の値は偶然であって本来の形式ではないかもしれません。
- Cookie のパーティション動作やドメインごとの件数上限など、ブラウザー固有の挙動はエンジンやバージョンで異なります。
よくある質問
形式判定・値のデコード・セキュリティスコア・curl 向けエクスポート・Cookie データの行き先について、率直に答えます。
Cookie ヘッダーと Set-Cookie ヘッダーをどう見分けますか?
Set-Cookie は Path・Domain・Expires・SameSite などの予約属性を持ち、1 行 1 Cookie です。Cookie ヘッダーは name=value のペアが 1 行に並びます。自動判定はこれを使い、ツールバーで上書きもできます。
エンコードされた Cookie の値をデコードできますか?
はい。値を URL デコードし、JSON を整形し、Base64 を展開し、JWT をヘッダーとペイロードに分割します。すべて各 Cookie の下にその場で表示します。
セキュリティスコアの意味は?
100 から始まり、検出ごとに減点します —— Secure なしの SameSite=None や壊れた __Host- プレフィックスなどの重大な問題が最も大きく、警告や注意は小さく減ります。手早いシグナルであり、適合の評定ではありません。
curl 用に Cookie をエクスポートできますか?
はい。Netscape cookies.txt エクスポートは curl --cookie cookies.txt や wget --load-cookies で読み込める jar を生成します。ほかに document.cookie・JSON・Markdown・PHP のエクスポートもあります。
Cookie データはアップロードされますか?
いいえ。判定・デコード・監査・エクスポートはすべてブラウザー内で行われます。Cookie をこのページの外に運ぶネットワークリクエストはありません。
リクエスト Cookie に Secure などの属性が見えないのはなぜ?
Cookie リクエストヘッダーは name=value のペアしか運びません —— Secure・HttpOnly・SameSite などの属性は Set-Cookie 側にあります。それらを監査するには Set-Cookie ヘッダーを貼り付けてください。
関連ツール
ネットワークとセキュリティの作業を続けましょう —— HTTP メッセージ全体を解析する、Cookie の JWT をデコードする、URL を整える。